Jamf Threat Labs виявила новий Rust-інфостилер для macOS під назвою PamStealer, який маскується під менеджер буфера обміну з відкритим кодом Maccy. У звіті, опублікованому в четвер, компанія з кібербезпеки повідомила, що кампанія використовує фейковий вебсайт для поширення шкідливого файлу AppleScript, здатного викрадати паролі та ключі криптогаманців у користувачів Mac. За даними Jamf Threat Labs, шкідливе ПЗ перевіряє паролі входу жертв через модулі плагінів аутентифікації macOS (PAM), перш ніж викрасти їх. Це відкриття відображає ширшу тенденцію атакуючих маскувати шкідливе ПЗ під легітимне програмне забезпечення та зловживати довіреними платформами розробників і рекламними каналами.
За даними Jamf Threat Labs, кампанія використовує сайт-клон для поширення образу диска, що містить шкідливий файл AppleScript під назвою Maccy.scpt. Після відкриття файл показує інструкції, які пропонують користувачам запустити його в редакторі сценаріїв Apple, приховуючи шкідливий код далі в документі.
«Ми відстежуємо це шкідливе ПЗ під назвою PamStealer за однією з його основних дій: перевірка пароля входу жертви через модулі плагінів аутентифікації macOS (PAM) перед його викраденням», — написали в Jamf Threat Labs у звіті.
Директор Jamf Threat Labs Джерон Бредлі повідомив Decrypt, що зловмисники купують рекламу Google Ads, щоб заманити користувачів на шкідливі додатки. «Нещодавно ми спостерігали шкідливу рекламу, розміщену також на X», — сказав Бредлі. «Ці методи соціальної інженерії виявилися дуже успішними».
Шкідливе ПЗ використовує JavaScript для автоматизації та рідні API macOS для завантаження корисного навантаження другого етапу без використання поширених утиліт командного рядка, таких як curl або zsh, що зменшує кількість процесів, які можуть спостерігати інструменти безпеки.
За даними звіту, другий етап — це двійковий файл на основі Rust, призначений для Mac на Apple Silicon, який маскується під Finder або Software Update. «Замість зберігання конфігурації у відкритому тексті, дропер отримує ключ з відбитка хоста — включаючи архітектуру процесора, локаль, розкладку клавіатури та часовий пояс — і використовує його для розблокування зашифрованої конфігурації з перевіркою цілісності, що містить URL-адресу корисного навантаження та шлях встановлення», — повідомила компанія.
Якщо шкідливе ПЗ не може підтвердити, що воно працює на цільовій системі, воно тихо завершує роботу.
Після встановлення шкідливе ПЗ може викрадати облікові дані браузера та дані Keychain, відстежувати вміст буфера обміну, забезпечувати стійкість і надсилати викрадену інформацію на віддалений командний сервер за допомогою зашифрованого зв'язку.
Шкідливе ПЗ намагається розширити свій доступ, показуючи підроблене сповіщення Finder із запитом на надання повного доступу до диска. Підказка може з'являтися до 40 хвилин після зараження, що знижує ймовірність того, що користувачі пов'яжуть її з оригінальним завантаженням. Якщо дозвіл надано, шкідливе ПЗ може отримати доступ до захищених даних, включаючи пошту, повідомлення та резервні копії Time Machine.
За словами Бредлі, Jamf не спостерігав жодних доказів активності PamStealer у дикій природі. Компанія повідомила Apple про свої знахідки. Apple не відповіла одразу на запит Decrypt щодо коментаря.
Jamf повідомляє, що спостерігає подібні методи соціальної інженерії, які поширюються на інші платформи. У дописі на X минулого тижня компанія заявила, що розслідує спонсоровану рекламу на X, яка рекламує DynamicLake і перенаправляє користувачів на dynamicmacisland[.]com, де їм пропонують відкрити Термінал і виконати команду встановлення.
«Реклама була розміщена через верифікований обліковий запис X, що додає ще один рівень довіри до соціальної інженерії», — написала компанія. «Аналіз корисного навантаження виявив нещодавній варіант Atomic (MacSync) Stealer».
Ці результати з'являються в той час, коли зловмисники все частіше маскують шкідливе ПЗ під легітимне програмне забезпечення та зловживають довіреними платформами розробників і рекламними каналами. Останні кампанії включали фейковий репозиторій OpenAI, який потрапив у топ проєктів Hugging Face, перш ніж поширити Rust-інфостилер, шкідливе розширення Visual Studio Code, яке, за даними GitHub, викрило приблизно 3,800 внутрішніх репозиторіїв, а також кампанію Shai-Hulud з атаки на ланцюжок постачання ПЗ, націлену на інструменти розробки, які використовують компанії ШІ, включаючи OpenAI та Mistral AI.
Що таке шкідливе ПЗ PamStealer і як воно націлюється на користувачів Mac?
PamStealer — це Rust-інфостилер для macOS, виявлений Jamf Threat Labs, який маскується під менеджер буфера обміну з відкритим кодом Maccy. Шкідливе ПЗ поширюється через фейковий вебсайт, який доставляє шкідливий файл AppleScript. Воно перевіряє паролі входу жертв через модулі плагінів аутентифікації macOS (PAM), перш ніж викрасти облікові дані браузера, дані Keychain і відстежувати вміст буфера обміну.
Як PamStealer уникає виявлення інструментами безпеки?
За даними Jamf Threat Labs, PamStealer використовує JavaScript для автоматизації та рідні API macOS для завантаження корисного навантаження другого етапу без використання поширених утиліт командного рядка, таких як curl або zsh, що зменшує кількість процесів, які можуть спостерігати інструменти безпеки. Шкідливе ПЗ також отримує ключ з відбитка хоста для розблокування зашифрованої конфігурації та завершує роботу, якщо не може підтвердити, що воно працює на цільовій системі.
Чи спостерігала Jamf використання PamStealer в активних атаках?
За словами директора Jamf Threat Labs Джерона Бредлі, Jamf не спостерігав жодних доказів активності PamStealer у дикій природі. Компанія повідомила Apple про свої знахідки, але Apple не відповіла одразу на запит Decrypt щодо коментаря.
Пов’язані новини
Zcash планує запуск Ironwood Mainnet на 21 липня 2026 року після помилки в Orchard Pool.
D3Lab виявляє хвилю шкідливого ПЗ для оплати дотиком, що націлена на користувачів Android у Європі
Пітер Шифф критикує мемкоїни Трампа як інструмент хабарництва
Втрати через вразливість Hinkal DeFi становлять 820 тис. доларів, 410 ETH залучено до відмивання грошей.